Juz*_*oco 4 cryptography sessionid
我是一名学习密码学的学生。在网上搜索后,我仍然无法找到我的问题的答案。我想知道如何安全地存储电子商务网站的会话 ID。如果可以的话,怎么可能呢?请用通俗易懂的语言解释一下。期待您的有用答案。
干杯
会话 ID 通常只是在客户端和服务器之间传递的随机(不透明)标识符。服务器使用标识符在数据库中查找状态信息(例如当前购物车内容)。
实际上,您必须相信客户端会保护会话 ID,因为一旦您将其发送给他们,它就变成了静态令牌——再多的加密技术也无法解决任何人都可以提供会话 ID,然后冒充用户。
您可以采取一些措施来缓解问题:
确保您使用“足够安全”的随机生成器来构建令牌
确保令牌的传输尽可能安全,防止窃听或客户端盗窃(例如使用 SSL、httponly 和安全 cookie 标志)
为令牌提供合理的超时时间,并要求用户使用刷新令牌或重新登录等定期请求新令牌。
人们对如何实际工作进行了很多思考 - 查看 OAuth2 / OpenID Connect 协议。